Win32/IRCBot.worm.293888.B 是 Win32/IRCBot.worm蠕虫的变种之一。该蠕虫试图利用Windows漏洞和Windows用户账号密码漏洞来传播。 运行该蠕虫后会在Windows系统文件夹下生成 tdrdhwd.exe (293,888 bytes), 并修改注册表当系统启动时自动运行。 试图连接特定IRC服务器. 连接成功后,以管理者(Operator)的身份执行恶意控制。
Win32/IRCBot.worm.293888.B 是 Win32/IRCBot.worm蠕虫的变种之一。该蠕虫试图利用Windows漏洞和Windows用户账号密码漏洞来传播。 运行该蠕虫后会在Windows系统文件夹下生成 tdrdhwd.exe (293,888 bytes), 并修改注册表当系统启动时自动运行。 试图连接特定IRC服务器. 连接成功后,以管理者(Operator)的身份执行恶意控制。
该蠕虫利用Win32/IRCBot.worm 变更与Windows漏洞传播.
MS03-039 RPC DCOM2 漏洞
WINDOWS NT 系列(WINDOWS NT, 2000, XP)共享文件夹的用户账号存有密码漏洞时,连接系统后运行该蠕虫. 密码漏洞账号的清单如下.
administrator
administrador
administrateur
administrat
admins
admin
staff
computer
owner
student
teacher
wwwadmin
guest
default
database
oracle
administrator
administrador
administrateur
administrat
admins
admin
password1
password
passwd
pass1234
12345
123456
1234567
12345678
123456789
1234567890
guest
linux
changeme
default
system
server
qwerty
outlook
internet
accounts
accounting
homeuser
oemuser
oeminstall
windows
win98
win2k
winxp
winnt
win2000
peter
susan
peter
brian
chris
george
katie
login
loginpass
technical
backup
exchange
bitch
hello
domain
domainpass
domainpassword
database
access
dbpass
dbpassword
databasepass
databasepassword
db1234
sqlpassoainstall
orainstall
oracle
cisco
compaq
siemens
nokia
control
office
blank
winpass
internet
intranet
student
teacher
staff
在Windows系统文件夹生成如下文件.
- tdrdhwd.exe (293,888 bytes)
注) Windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me是C:WindowsSystem, Windows NT/2000是C:WinNTSystem32, Windows XP是C:WindowsSystem32.
修改注册表当系统启动时自动运行.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
start up service = tdrdhwd.exe
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunServices
start up service = tdrdhwd.exe
HKEY_USERS
S-1-5-21-343818398-1417001333-839522115-1003
Software
Microsoft
OLE
start up service = tdrdhwd.exe
试图连接特定 IRC(Internet Relay Chat: 利用因特网的一种聊天服务)服务器和聊天室. 连接成功后,以管理者(Operator)的身份执行恶意控制.
一般可运行的恶性功能如下.但IRC 服务器管理者封闭该聊天室时,该恶性功能不会运行.
- 文件运行及删除
- 泄露系统信息及网络信息
- 记录用户输入的内容(泄露用户的密码)
- 泄露特定游戏CD Key 代码
1**.2**.3*.70
注) 一些地址由 * 来替代.
温馨提示:
